[radyr]

Hallo ihr,

in Amerika wohl völlig normal, bei uns absolut verpöhnt. Dennoch wollen wir uns nicht gleich querstellen und suchen so nach einer Pro- & Contraliste, nach notwendigen Bedingungen und einzuhaltenden gesetzlichen Richtlinien. Ich hoffe auf eure Mithilfe, denn das Thema wird sicher auch für andere durchaus interessant sein.

Kurz zur Problemstellung:
Wir möchten es unseren Mitarbeitern ermöglichen, sich selbst für ein Notebook zu entscheiden, welches sie dann für geschäftliche und natürlich auch private Zwecke nutzen können. Dieses Notebook muss selbst erstanden werden, evtl. zahlen wir eine Nutzungspauschale o.ä. und die Firma hat bis zum Ausscheiden des Mitarbeiters vertraglich festgelegte Hoheit über die auf dem Notebook gespeicherten, geschäftlichen Daten.

Natürlich müssen einige Spezifikationen eingehalten werden und Funktionalitäten sichergestellt werden. Bei uns ist das bspw.:

- Volle Verschlüsselung der Daten, keine unverschlüsselten Bereiche, bestenfalls Hardwareverschlüsselung
- Auflösung mind. 1280 * x, da wir das für einige unsere Anwendungen benötigen
- USB, (RJ45), WLAN, Bluetooth
- min. 100GB Hdd
- min. 2GB Ram
- zu MS Office 2003/2007 kompatible Dokumentenerstellung
- OLE 2.0 Unterstützung
- aktueller Virenschutz (namhafter Hersteller, kein Antivir) und eine eingeschaltete SW-Firewall
- ...und ein paar weitere Dinge.

Der Nutzer kann sich also prinzipiell für jedes Betriebssystem entscheiden. Wir wollen da keine Steine in den Weg legen. Allerdings besteht bei einem eigenen System auch Eigenverantwortung. Die IT übernimmt keinerlei Haftung und einen Support gibt es auch nur auf die verwendete Software.

Jetzt ist für uns die Frage, ob das so durchsetzbar ist, welche Probleme wir uns evtl. einhandeln, welche Vorteile entstehen können, welche Dinge dringend berücksichtigt werden müssten, usw.? Hat jemand Tipps, Erfahrungen, Links, rechtliche Grundlagen?

Ich hoffe, dass wir hier eine rege Diskussion führen können. Antworten wie: "Würde ich nicht machen!" sind wenig hilfreich!

Edit: Einen ersten Link habe ich selbst schon dazu: Gartner Studie

Dieser Beitrag wurde von rehleinkiller bearbeitet: 01. Dezember 2009 - 10:29

[HS-TGO]

Zitat (rehleinkiller: 01.12.2009, 10:25)

und die Firma hat bis zum Ausscheiden des Mitarbeiters vertraglich festgelegte Hoheit über die auf dem Notebook gespeicherten, geschäftlichen Daten.

Wenn die Daten aus der Firma herausgetragen werden und das Notebook verloren geht sind die Daten dann aber Freiwild.
Kommt ihr für die Kosten der Internetverbindung auf?

[radyr]

Zitat (HS-TGO: 01.12.2009, 10:42)

Wenn die Daten aus der Firma herausgetragen werden und das Notebook verloren geht sind die Daten dann aber Freiwild.
Kommt ihr für die Kosten der Internetverbindung auf?

Das ist auch jetzt schon so, da alle Mitarbeiter von uns beim Kunden unterwegs sind mit ihren Notebooks. Deshalb die Verschlüsselung, um wenigstens ein gewisses Maß an Sicherheit zu schaffen.

Für die Internetkosten kommen wir jetzt und auch bei diesem Modell auf, ja.

[Twisty]

rehleinkiller sagte:

[...]
- aktueller Virenschutz (namhafter Hersteller, kein Antivir) und eine eingeschaltete SW-Firewall
[...]
Der Nutzer kann sich also prinzipiell für jedes Betriebssystem entscheiden.

Steht voll im Widerspruch. Was will man bei MacOSX mit einer Softwarefirewall?

Probleme ergeben sich, wenn der/die Mitarbeiterin eine Malware sich an Land zieht, die dann ein geschäftsschädigendes Verhalten an Tag legt. Ausspähen von vertraulichen Daten, KiPo oder (D)DOS bzw. ein Botnetz.

[radyr]

Zitat (Twisty: 01.12.2009, 11:18)

Steht voll im Widerspruch. Was will man bei MacOSX mit einer Softwarefirewall?

Probleme ergeben sich, wenn der/die Mitarbeiterin eine Malware sich an Land zieht, die dann ein geschäftsschädigendes Verhalten an Tag legt. Ausspähen von vertraulichen Daten, KiPo oder (D)DOS bzw. ein Botnetz.

Gut, bei MacOSX dann halt ohne Firewall.

Die Probleme ergeben sich doch auch schon jetzt. Es hat wie gesagt jeder Mitarbeiter ein Notebook, welches aber bisher von uns ausgegeben wurde.

[DiNozzo]

Zitat (rehleinkiller: 01.12.2009, 10:25)

Wir möchten es unseren Mitarbeitern ermöglichen, sich selbst für ein Notebook zu entscheiden, welches sie dann für geschäftliche und natürlich auch private Zwecke nutzen können. Dieses Notebook muss selbst erstanden werden, evtl. zahlen wir eine Nutzungspauschale o.ä. und die Firma hat bis zum Ausscheiden des Mitarbeiters vertraglich festgelegte Hoheit über die auf dem Notebook gespeicherten, geschäftlichen Daten.

glaubt ihr, dass dieses modell auf zuspruch stoßen wird?

mitarbeiter x bekommt aktuell von euch ein notebook gestellt und benutzt dieses für die arbeit. kosten für den mitarbeiter = 0€
mitarbeiter x muss sich künftig sein notebook kaufen, benutzt dies zu einem großteil auch für die arbeit, hat aber anschaffungskosten von xxx€?

was soll das bringen? was versprecht ihr euch davon? wie bringt man das der belegschaft bei, dass sie nun selbst auslagen für notebooks haben?

Dieser Beitrag wurde von DiNozzo bearbeitet: 01. Dezember 2009 - 11:26

[radyr]

Zitat (DiNozzo: 01.12.2009, 11:24)

glaubt ihr, dass dieses modell auf zuspruch stoßen wird?

was soll das bringen? was versprecht ihr euch davon? wie bringt man das der belegschaft bei, dass sie nun selbst auslagen für notebooks haben?

Es ist der audrückliche Wunsch einiger Mitarbeiter.

Zitat (funky_monkey: 01.12.2009, 11:52)

Private Daten und Firmen-Interna unbedingt unabhängig voneinander verschlüsseln, die Firma sollte einen eigenen oder einen Masterkey für ihre Daten haben, sowie je nach eingesetztem Verschlüsselungssystem z.B. ein Backup des FS-Headers.

Über die Hardwareverschlüsselung eines Notebooks kann die komplette HDD verschlüsselt werden. Einen Masterkey benötigen wir nicht, da wir uns den Zugang auf die Daten vertraglich zusichern lassen und weil der Großteil der Daten in unserem Lotus Notes System gespeichert wird.

Zitat

Automatisches Backup der Firmendaten sobald die Kiste im Firmennetzwerk erreichbar ist.

Für das Backup sind die User selbst verantwortlich.

Zitat

Generell halte ich das für eine reichlich bescheidene Idee. Ein FDE-System setzt Admin-/root-Rechte vorraus, das birgt widerum viele Gefahren und bei reiner Datei-/Containerverschlüsselung kann immer noch das System kompromittiert werden.

Deshalb keine Containerverschlüsselung und die Adminrechte haben unsere Nutzer sowieso.

Zitat

Mit was für Daten müssen die Leute denn arbeiten - also in welcher Größenrelation(MB/GB) findet das statt? VPN und speichern der übertragenen Daten ausschließlich in einer verschlüsselten RAM-Disk wäre möglich. Oder die Daten liegen verschlüsselt auf dem Notebook, den Key gibt's nur per VPN und der wird nach jeder Benutzung gewechselt(+ einen Masterkey).

Max. 5GB im Monat. Zugriff auf das Firmennetz findet über VPN statt.

[catfishman]

Am besten ist es um die Sicherheit bestellt, wenn die Firma das komplett selbst in die Hand nimmt, bzw. in kompetente Hände gibt.
Ich kann da nur bedingt von Berichten: Mein Vater ist Außendienstmitarbeiter bei einem Versicherungsunternehmen. Seine Notebooks hat er immer gestellt bekommen (von Siemens-Nixdorf bis IBM/Lenovo). Zuletzt lief das Gerät immer nur in Verbindung mit einer Smart-Card. Wird das Gerät länger nicht eingeschaltet, so versagt es komplett seinen Dienst (nach z.B. 2 Monaten).
Habe mir das nicht so genau angeschaut, ob das nun auf BIOS-Ebene oder sonstwo abläuft, aber ich empfand diese Methode schon als recht sicher. Zumal das bei einigen IBM/Lenovo Geräten schwer ist einen BIOS-Reset durchzuführen bzw. gar nicht möglich (aus eigener Erfahrung).

Wie sollen denn die firmenseitig gewünschten Voraussetzungen sichergestellt werden? Das stelle ich mir schwerer vor, als eine Charge selber zu kaufen, bzw. von einem größeren Hersteller zu Leasen und "sicher" konfiguriert zu erhalten. Da ich jetzt nicht weiß, um wie viele Geräte es sich handeln soll, ist eine Abschätzung schwierig.

Pro:
geringere Beschaffungskosten
jeder Mitarbeiter kann sich "sein" Gerät wählen (zufriedenes Arbeiten)
Mitarbeiter passen besser auf "Ihr" Gerät auf (-> eventuell längere Gerätenutzdauer)

Contra:
schlechte Administrierbarkeit (höherer Aufwand -> mehr Kosten; oder jeder kocht sein eigenes Süppchen)
keine Homogenität (Geräte faktisch nicht tauschbar, jeder kann nur an seiner Maschine arbeiten)
kein Support-> nicht versierte Mitarbeiter stehen im Regen (Ersatzgeräte gibt es wohl nicht)

Es kommt wohl auf den Betrieb an: ITlern könnte man die Mehrverantwortung zumuten, BWLern würde ich das nicht auferlegen (aus eigenem Interesse).

Vielleicht konnte ich einige neue Aspekte mit einbringen.
catfishman

[radyr]

Zitat (catfishman: 01.12.2009, 12:13)

Wie sollen denn die firmenseitig gewünschten Voraussetzungen sichergestellt werden? Das stelle ich mir schwerer vor, als eine Charge selber zu kaufen, bzw. von einem größeren Hersteller zu Leasen und "sicher" konfiguriert zu erhalten. Da ich jetzt nicht weiß, um wie viele Geräte es sich handeln soll, ist eine Abschätzung schwierig.

Die gewünschten Voraussetzungen werden vertraglich festgelegt und es gibt natürlich ein von der Firma gestelltes Ersatzgerät, falls das eigene den Dienst versagt.

Zitat (funky_monkey: 01.12.2009, 12:13)

Es geht nicht um den Zugang, es geht darum, dass der Mitarbeiter das Passwort/Keyfile vergessen oder in böswilliger Absicht löschen könnte.

Pech? Aber über einen Masterkey könnte man sich sicher Gedanken machen.

Zitat

Autsch.

Das liegt zum einen daran, dass es Mitarbeiter gibt, die max. 2x im Jahr vor Ort sind und deshalb ihr Backup auf eine verschlüsselte externe Platte machen und zum anderen daran, dass wir die meisten Daten ohnehin im Lotus Notes System haben und das wird vom Server weggesichert.

Allgemein werden sowieso nur ca. 5 Leute davon Gebrauch machen. Nämlich die, die jetzt schon ihr eigenes Süppchen kochen. Das wollen wir wenigstens soweit unter Kontrolle haben, dass wir uns für die Einführung solcher Richtlinien interessieren.

Dieser Beitrag wurde von rehleinkiller bearbeitet: 01. Dezember 2009 - 12:39

[LoD14]

und wenn ihr firmenseitig eine virtualisierte lösung anschafft? sprich, es wird eine VM Software angeschafft die verschlüsselte VM images ermöglicht. Dann könnte die IT ein Masterimage erstellen was von allen genutzt werden muss. die VM könnte man dann auch soweit abschirmen, dass sie zwar inet zugang hat, aber kein Datenaustausch mit dem lokalen BS stattfinden kann. Dann könnte sich der Nutzer sein System so verhunzen wie er will, das Image wäre weitgehen unabhängig und könnte auch mit entsprechend reduzierten Rechten vom Nutzer ausgeführt werden.

[radyr]

Zitat (LoD14: 01.12.2009, 12:45)

und wenn ihr firmenseitig eine virtualisierte lösung anschafft? sprich, es wird eine VM Software angeschafft die verschlüsselte VM images ermöglicht. Dann könnte die IT ein Masterimage erstellen was von allen genutzt werden muss. die VM könnte man dann auch soweit abschirmen, dass sie zwar inet zugang hat, aber kein Datenaustausch mit dem lokalen BS stattfinden kann. Dann könnte sich der Nutzer sein System so verhunzen wie er will, das Image wäre weitgehen unabhängig und könnte auch mit entsprechend reduzierten Rechten vom Nutzer ausgeführt werden.

Das haben wir uns auch schon überlegt. Allerdings ist da der Verwaltungsaufwand für die IT wieder höher. Wir wollen dem Nutzer eigentlich die Möglichkeit geben, so auf seinem System zu arbeiten, wie er das für Notwendig hält.

[LoD14]

ja, der aufwand ist am anfang gewiss höher. aber ich meine so ein masterimage erstellt man ein mal und dann langt das erstmal für 1-2 jahre. in einer VM bleiben ja treiber etc gleich. was auch einen gewissen sicherheitsfaktor darstellt. fehlerhafte treiber etc können keine auswirkungen auf das gastsystem haben, selbst wenn sie auf dem host löcher öffnen.

ich sehe dadrinne eigentlich wirklich den vorteil, wenn ersteinmal so ein referenzimage existiert und alle software darauf eingerichtet ist, dass ihr als firma sicher sein könnt, dass alles läuft. und das beruf und privat trotz gleichem system trennschaft unterschieden werden können. es muss ja nicht böswillig sein, wenn der user mit admin rechten auf dem system unterwegs ist und ein neuer 0day-exploit auftritt, den aktuelle scanner noch nicht erwischen, hat man den salat. dann sind ratz fatz daten draußen.

wenn das halt wirklich getrennt ist, kommt so nichts nach außen. und ich frage mich auch, ob das nicht eventuell sowieso einfacher für die IT wäre. wenn die mitarbeiter sich irngedwas exotisches anschaffen, was in wechselwirkung mit der firmensoftware tritt, hat die IT doch acuh den brassel am hals.

ihr schreibt den nutzern vor, macht ne zweite partition/festplatte, verschlüsselt die und macht dadrauf das zusätzlich verschüsselte image drauf. das ist dann da. dann kann mit dem hostsystem passieren will! wie schnell hat man privat was installiert, was das system zerdonnert. und im zeifelsfall steht man dann in der IT "hey leutet, rettet mal die daten". liegt das gastsys aber auf ner anderen partition vollkommen unabhängig kann die IT sagen "arsch lecken, mach dein BS heile, unser teil ist erledigt".

ich würde diesen gedanken nicht einfach wegen höherem aufwand für die IT verwerfen. der bietet zumidnest in meinen augen auch einige vorteile.

[radyr]

@LOD: die Kosten die entstehen sind dann für das VM-System und jeweils eine Lizenz des Betriebssystems. Da es einige User gibt, die eben nicht auf Windows arbeiten möchten, ist das allerdings ein Thema und auch der Hauptgrund für die meisten der Nutzer, die gerne ein eigenes Notebook nutzen wollen.